Seguridad Informática

La Seguridad de los Sistemas de Información es actualmente una de las principales preocupaciones de los ciudadanos, empresas y profesionales de todo el mundo. La confianza en los servicios telemáticos, elemento clave para el desarrollo de una Sociedad de la Información sana está en entredicho.

En los últimos tiempos proliferan las amenazas, que van desde los virus informáticos hasta el “ciberterrorismo”, pasando por la usurpación de identidades bancarias o el robo de información confidencial. Resulta demoledor el efecto producido por estos peligros, en usuarios y ciudadanos en general, por lo que respecta a la percepción de la seguridad en medios telemáticos.

Varios organismos públicos se han creado para preservar y orientar en cuanto a materias de seguridad informática. No obstante, existen todavía empresas que carecen de orientación sobre los ajustes que deben realizar en su negocio para proteger adecuadamente sus sistemas de información o que …

En la actualidad, nadie puede permanecer ajeno a las ventajas que han supuesto para todos los sectores sociales y económicos el desarrollo de la informática y la expansión de las telecomunicaciones. La utilización de las nuevas herramientas informáticas en combinación con las redes de telecomunicaciones avanzadas en el ámbito de la Administración Pública está contribuyendo a alcanzar unos mayores grados de eficacia y eficiencia a la hora de gestionar las relaciones y los servicios que éstas prestan a la ciudadanía.

Sin embargo, el uso de la informática y las telecomunicaciones en todos los ámbitos también tiene una vertiente negativa, en el sentido de que su utilización sin las debidas garantías puede afectar a los derechos y libertades individuales de la ciudadanía, en especial en lo referente a su intimidad y a la protección de sus datos.

Consciente de los riesgos derivados de un posible uso inadecuado de estas nuevas tecnologías en detrimento de …

La ley de protección de datos personalesasegura la protección integral de los datos personales. Su función es la de garantizar el derecho al honor y a la intimidad de las personas, y también el acceso a la información que sobre las mismas existe.

Con la llegada de las Tecnologías de la Información y la Comunicación -TIC-, Internet y las redes sociales, se multiplica el desafío para la correcta protección de los datos personales. Así, vemos como en Facebook, Twitter, YouTube, Instagram, Flickr, o bien en blogs, se publican nombre, apellido, fecha de nacimiento, se suben las fotos más personales y hasta se publican datos sensibles como ideología política, creencias religiosas, etc.

El objetivo de esta publicación es establecer pautas que desarrollen capacidades críticas y reflexivas en sus principales usuarios -los niños y jóvenes- respecto del uso de las nuevas tecnologías y a su vez, orientar a padres y docentes para que acompañen a los más chicos en…

Se llama GROOMING a la acción deliberada de un adulto de acosar sexualmente a un niño o niña mediante el uso de Internet. Siempre es un adulto quien ejerce el grooming.

Estos adultos suelen generar un perfil falso en una red social, sala de chat, foro u otro, en donde se hacen pasar por un chico o una chica y entablan una relación de amistad y confianza con el niño o niña que quieren acosar.

El mecanismo del grooming suele incluir un pedido de foto o video de índole sexual o erótica (pedido por el adulto, utilizando el perfil falso). Cuando consigue la foto o el video, comienza un período de chantaje en el que se amenaza a la víctima con hacer público ese material si no entrega nuevos videos o fotos o si no accede a un encuentro personal.

Internet es una herramienta que brinda nuevas posibilidades a problemáticas previamente existentes. En este sentido, el abuso o acoso sexual a menores y la pedofilia no deben explicarse por la web, sino que esta …

Desde que trabajo temas en relación con la tecnología digital, no poca gente me consulta qué celular o tablet debería comprarse, si el nuevo modelo de iPhone/Samsung/Motorola ya se consigue en el país o qué defiición tiene su pantalla.

Y cuando me muestran el celular “viejo” en vías de abandono, este suele superar en potencia al que descansa en mi bolsillo y que mantengo por una razón que puede parecer algo ingenua: satisface mis necesidades de comunicación. Claramente, desde el punto de vista de quienes me interpelan, un “experto en tecnología” es también un fanático de la novedad.

...

La faceta consumista de la tecnología, sobre todo de los dispositivos digitales y de los servicios que se lanzan al mercado permanentemente, está sabiamente fogoneada por el marketing hasta el punto de soslayar prácticamente todas las demás facetas. Entre las dimensiones opacadas está, por ejemplo, su rol fundamental en ciertas dinámicas sociales …

La Web 2.0, en particular las redes sociales, es una inestimable oportunidad para que niños, niñas y adolescentes accedan a información, expresen e intercambien opiniones, den a conocer sus

creencias, socialicen, se asocien con otros con intereses similares, etc. Al mismo tiempo son espacios en los que podrían enfrentar situaciones que ponen en riesgo su integridad física, sicológica, social, sexual.

Muchas de estas amenazas pueden ser provocadas por los mismos niños, niñas y adolescentes que -como usuarios- pueden vulnerar derechos de otros, afectar la integridad personal, violentar la intimidad, transgredir derechos de propiedad, etc.

Hace diez años no había mucha información sobre seguridad informática que fuera más allá de los virus del momento. Internet tampoco estaba muy implantado en la sociedad como ocurre en la actualidad. Sin embargo hace diez años, hablando por IRC con Bernardo, me dijo algo así como “apuesto a que hay suficiente material sobre seguridad como para sacar una noticia todos los días”. No me sorprendió.

En aquella época yo trabajaba en la revista PC Actual y Bernardo era colaborador externo. Solíamos redactar juntos artículos sobre temas de seguridad, comparativas antivirus, y similares. Así que escribir

sobre informática, o en concreto sobre seguridad informática, no nos resultaba raro ni complicado.

Bernardo escribió ese mismo día la primera noticia y la envió a un pequeño grupo de amigos y compañeros. El reto propuesto por Bernardo me pareció una gran idea, además tenía claro que era totalmente factible, así que me propuse ayudarle con otra …

Desde la época de los griegos, el hombre ha intentado ocultar información, ya sea para la guerra, ya sea personal, y por lo mismo hemos desarrollado métodos para hacerlo. Esos métodos han sido

estudiado a lo largo de los años, para así dar paso a dos grandes ciencias: la criptografía y el criptoanálisis. La primera trata de estudiar y hacer métodos seguros para ocultar información; la segunda trata de encontrar las debilidades de los esquemas criptográficos.

Entre las motivaciones que tengo para estudiar criptografía y hacer esta tesis, “Estudio y Aplicaciones de Esquemas criptográficos”, estan el tiempo que muchos matemáticos brillantes como Neal Koblitz y Menezes, entre otros, han dado para el desarrollo de esta ciencia, y sobre todo, la aplicación de varias de las ramas de las matemáticas como el álgebra y la teoría de números, que a lo largo de los años se cría que nunca se podrían aplicar.

Así también, puedo mencionar que la …

Criptoanálisis (del griego kryptós, "escondido" y analýein, "desatar") es el estudio de los métodos para obtener el sentido de una información cifrada, sin acceso a la información secreta requerida para obtener este sentido normalmente. Típicamente, esto se traduce en conseguir la clave secreta. En el lenguaje no técnico, se conoce esta práctica como romper o forzar el código, aunque esta expresión tiene un significado específico dentro del argot técnico.

"Criptoanálisis" también se utiliza para referirse a cualquier intento de sortear la seguridad de otros tipos de algoritmos y protocolos criptográficos en general, y no solamente el cifrado. Sin embargo, el criptoanálisis suele excluir ataques que no tengan como objetivo primario los puntos débiles de la criptografía utilizada; por ejemplo, ataques a la seguridad que se basen en el soborno, la coerción física, el robo, el keylogging y demás, aunque estos tipos de ataques son un riesgo creciente para la …

This document is a guide to the use of the OpenSSL FIPS Object Module, a software component intended for use with the OpenSSL cryptographic library and toolkit. It is a companion document to the OpenSSL FIPS 140-2 Security Policy document submitted to NIST as part of the FIPS 140-2 validation process. It is intended as a technical reference for developers using, and system administrators installing, the OpenSSL FIPS software, for use in risk assessment reviews by security auditors, and as a summary and overview for program managers. It is intended as a guide for annotation and more detailed explanation of the Security Policy, and not as a replacement.

Familiarity with the OpenSSL distribution and library API (Application Programming Interface) is assumed. This document is not a tutorial on the use of OpenSSL and it only covers issues specific to the FIPS 140-2 validation.

Revelations over the past couple of years highlight the importance of understanding malicious and surreptitious weakening of cryptographic systems. We provide an overview of this domain, using a number of historical examples to drive development of a weaknesses taxonomy. This allows comparing different approaches to sabotage. We categorize a broader set of potential avenues for weakening systems using this taxonomy, and discuss what future research is needed to provide sabotage-resilient cryptography.

Privacy is a fundamental human right. It is recognized in many countries to be as central to individual human dignity and social values as Freedom of Association and Freedom of Speech. Simply put, privacy is the border where we draw a line between how far a society can intrude into our personal lives.

Countries differ in how they define privacy. In the UK for example, privacy laws can be traced back to the 1300s when the English monarchy created laws protecting people from eavesdroppers and peeping toms. These regulations referred to the intrusion of a person’s comfort and not even the King of England could enter into a poor persons house without their permission. From this perspective, privacy is defined in terms of personal space and private property. In 1880 American lawyers, Samuel Warren and Louis Brandeis described privacy as the ‘right to be left alone’. In this case, privacy is synonymous with notions of solitude and the right for a private life. In 1948, the …

La biometría es el estudio de métodos automáticos para el reconocimiento único de humanos basados en uno o más rasgos conductuales o rasgos físicos intrínsecos.

La aplicación de técnicas matemáticas y estadísticas sobre los rasgos físicos o de conducta de un individuo, permiten su autentificación, es decir, “verificar” su identidad.

Este libro se centra en el estudio de las tendencias y novedades más vanguardistas en Biometría abordando los siguientes contenidos:

• Reconocimientos de voz: Avances y Desafios
• 3D y termofusión facial
• Restauración de la imagen vascular de los dedos a través de métodos ópticos
• Principios y rendencias Básicas sobre la forma biométrica de la mano
• Biometría genética y evolutiva
• Evaluación del rendimiento del reconocimiento automático del sonido: Técnicas para aplicaciones forenses
• Evaluación de los sistemas biométricos
• Plantilla de …

La seguridad informática es un aspecto muy importante en nuestra vida cotidiana, no siempre nos percatamos de ello, pero cada vez que utilizamos el móvil o la tarjeta de crédito, cada vez que nos comunicamos con nuestro banco por Internet, estamos haciendo uso de ella. Se nos presenta como algo transparente, buscando siempre una sencillez que contrasta con la tremenda complejidad que supone lograrla.

Actualmente existen dos vertientes en criptografía (cifrado de datos) que representan dos formas de resolver el problema: criptografía de clave pública y criptografía de clave privada, cada una con sus ventajas e inconvenientes.

Los últimos avances y estudios permiten ver la despiadada carrera existente para crear y desbaratar los algoritmos utilizados. Recientemente se ha logrado romper una clave RSA de 1024 bits, cuando se esperaba que pudieran utilizarse hasta 10 años más; se han encontrado deficiencias en los conocidos algoritmos de hashing SHA-1 y MD5, los …

La Criptografía tradicionalmente se ha definido como la parte de la criptología que se ocupa de las técnicas, bien sea aplicadas al arte o la ciencia, que alteran las representaciones lingüísticas de mensajes, mediante técnicas de cifrado y/o codificado, para hacerlos ininteligibles a intrusos (lectores no autorizados) que intercepten esos mensajes. Por tanto el único objetivo de la criptografía era conseguir la confidencialidad de los mensajes. Para ello se diseñaban sistemas de cifrado y códigos. En esos tiempos la única criptografía que había era la llamada criptografía clásica.

La aparición de la Informática y el uso masivo de las comunicaciones digitales han producido un número creciente de problemas de seguridad. Las transacciones que se realizan a través de la red pueden ser interceptadas. La seguridad de esta información debe garantizarse. Este desafío ha generalizado los objetivos de la criptografía para ser la parte de la criptología que se …

El mundo actual en el que vivimos está completamente informatizado e interconectado de forma global. En este escenario tecnológico sin precedentes, la seguridad es uno de los problemas críticos a los que se enfrenta la informática. Para hacer frente a este problema real, existen desde hace décadas varias metodologías cuyo objetivo es la protección de los datos que viajan por las redes de telecomunicaciones.

El propósito de este libro es presentar algunos de los problemas de seguridad mas importantes conocidos en la actualidad y discutir aquellos mecanismos más fiables para evitar el robo de datos.

Un aspecto fundamental tratado en este libro será la criptografía, encargada actualmente del estudio de los algoritmos, protocolos y sistemas que se utilizan para dotar de seguridad a las comunicaciones, información y a las entidades involucradas en la emisión y recepción de envíos.

Así pues, el contenido de este manual se encuentra artículado en dos …

La criptografía es el estudio de las técnicas matemáticas relativas a los aspectos de seguridad de la información. Estas técnicas abarcan: confidencialidad, integridad de los datos, autenticación de la entidad, y autenticación del origen de los datos.

La criptografía ha desempeñado y desempeña una importante labor en cuanto al mantenimiento de la privacidad de datos en las transacciones.

Este libro analiza algunos de los problemas más críticos de seguridad a los que se enfrenta el mundo informático actual proporcionando información detallada de los posibles mecanismos para defenderse de aquellos ataques que puedan vulnerar la integridad y seguridad de los datos que viajan a través de las redes, tanto físicas como inalámbricas.

Los principales bloques en los que se divide este estudio tratan los siguientes aspectos:

• Seguridad y privacidad en redes de comunicaciones (físicas e inalámbricas)
• Criptografía …

Publicado originalmente en 2001, Security Engineering se convirtió rápidamente en todo un éxito de ventas dada su amplísima cobertura y lo ameno de su lectura.

Su autor Ross Anderson, experto en seguridad informática y profesor en Cambridge, desgrana todos los aspectos del desarrollo tecnológico en los que intervengan parámetros de seguridad.

Algunos de los temas que cubre este extenso libro son:

• Ingeniería de la seguridad
• Usabilidad y Psicología
• Protocolos
• Criptografía
• Sistemas distribuidos
• Monitorización
• Protección para sistemas E-Commerce
• Ataques y defensas en redes
• Copyright y Privacidad
• E-Policy

Tras varios años desde su publicación, el autor ofrece el contenido de forma libre. Para más información:

http://www.cl.cam.ac.uk/~rja14/book.html (Enlace revisado en febrero 2013)

Los equipos electrónicos han evolucionado a partir de exiguos empresariales experimentales en la década de 1940 a la prolíficos sistemas prácticos de procesamiento de datos en la década de 1980. A medida que hemos llegado a confiar en estos sistemas para procesar y almacenar datos, también hemos llegado a preguntarnos acerca de su capacidad para proteger los datos valiosos.

La seguridad de los datos es la ciencia y el estudio de métodos de protección de datos en los sistemas informáticos y de comunicaciones contra la divulgación no autorizada y la modificación. El objetivo de este libro es presentar los principios matemáticos de la seguridad de los datos y mostrar cómo estos principios se aplican a los sistemas operativos, sistemas de bases de datos y redes informáticas.

El libro está dirigido a estudiantes y profesionales que deseen conocer una introducción a estos principios entre los que se incluyen muchas referencias para el estudio de temas más …

Hace ya diez años que publiqué la primera edición de Criptografía y Seguridad en Computadores. Muchas cosas han pasado desde entonces, pero hay dos que no han cambiado: la constante actualización de la obra, y la excelente acogida dispensada por los lectores.

Esta cuarta edición es probablemente la más ambiciosa de todas las ampliaciones que he llevado a cabo sobre el libro, por lo que temo que completarla me llevará bastante más tiempo que las anteriores. Por ello he decidido ir liberando las versiones intermedias que vaya generando, con un doble propósito: por un lado, permitir que el material llegue cuanto antes a los lectores, y por otro ir recogiendo comentarios y sugerencias, para poder hacer la obra más útil y completa.

Estructura:

• Preliminares. Conceptos básicos y terminología.
• Fundamentos Teóricos de la Criptografía. Se desarrollan brevemente los resultados teóricos sobre los que se va a apoyar el …

El correcto diseño e implementación de eficaces sistemas de seguridad en Redes es de vital importancia en un mundo interconectado y global como el actual.

La seguridad es un concepto que está implícito en cada fase de un desarrollo, desde el análisis hasta el desarrollo pasando por los tests. En cada una de estas etapas, encontramos un número de métodos y técnicas que han sido propuestas con el fin de ofrecer un nivel básico de seguridad, confidencialidad, integridad y disponibilidad.

El objetivo de este libro es presentar una serie de aplicaciones innovadoras en la mejora de la seguridad de un sistema. Se conforma así como una guía de especial interés para profesores de la materia así como para aquellos investigadores que pretendan mantenerse al día con respecto a las innovaciones aparecidas en este campo.

Los casos propuestos engloban tanto aplicaciones independientes, como aquellas en red o de entornos tipo 'nube' (Cloud).

Security is an ever-present consideration for applications and data in the cloud. It is a concern for executives trying to come up with criteria for migrating an application, for marketing organizations in trying to position the company in a good light as enlightened technology adopters, for application architects attempting to build a safe foundation and operations staff making sure bad guys don’t have a field day. It does not matter whether an application is a candidate for migration to the cloud or it already runs using cloud-based components. It does not even matter that an application has managed to run for years in the cloud without a major breach: an unblemished record does not entitle an organization to claim to be home free in matters of security; its executives are acutely aware that resting on their laurels regardless of an unblemished record is an invitation to disaster; and certainly past performance is no predictor for future gains.

El mundo de la seguridad informática es demasiado amplio y complejo como para ser tratado exhaustivamente en ningún trabajo, mucho menos en uno tan simple como este; aquí únicamente he intentado resumir una visión global de diferentes aspectos relacionados con la seguridad, especialmente con Unix y redes de computadores (estas últimas tan de moda hoy en día... Unix, por desgracia, no tanto). Este trabajo está casi completamente extraído de mi proyecto final de carrera, que estudiaba la seguridad en los sistemas Unix y la red de la Universidad Politécnica de Valencia (UPV), de forma que si aparece alguna referencia a "nuestra red" o "nuestros equipos" (aunque he intentado eliminar todos los ejemplos y comentarios relativos a UPV, por motivos obvios) ya sabemos de qué se trata.

A lo largo de este trabajo se va a intentar hacer un repaso de los puntos habituales referentes a seguridad en Unix y redes de computadores (problemas, ataques, defensas...), aplicando el …

Para el sector empresarial, así como para entidades de toda índole en el sector público y privado, interesadas en optar por la virtualización de procesos y la digitalización de su información, resultarán de particular interés los casos de éxito que se presentan, en los que distintas organizaciones adoptaron la oferta de servicios de Certicámara S.A., y lograron alcanzar sus metas sin descuidar la seguridad de los datos y de la información.

Los obstáculos más recurrentes para decidirse a optar por los medios electrónicos como canales para virtualizar servicios o automatizar procesos, son la falta de confianza y el desconocimiento de las nuevas tecnologías, en particular de las posibilidades de asegurar los datos mitigando los riesgos por ataques y pérdidas. Así, cada una de las experiencias presentadas describe estas necesidades y la forma en que fueron abordadas con apoyo de la entidad de certificación.

La descripción de necesidades puntuales, el …

Este libro Seguridad por niveles publicado con licencia Copyleft por Alejandro Corletti Estrada, es una obra de más de 700 páginas, que desarrolla todos los temas de interés para profundizar en Seguridad de la Información, presentándolo desde el modelo de capas TCP/IP y con un gran cúmulo de ejercicios, herramientas y prácticas.

Cuenta con la participación y revisión de Arturo Ribagorda Garnacho y Jorge Ramió Aguirre, dos importantes referentes en Seguridad del ámbito Hispano.

Alejandro ha decidido difundirlo de forma libre y gratuita, con la sana intención de sumar un pequeño grano de arena a la comunidad informática. Ha costado un esfuerzo considerable y es la compilación de muchos años de experiencia, cursos, seminarios y congresos.

(SeguInfoNews)

Los profesionales de la tecnología de la información (TI) son hoy día críticos dentro del ambiente de negocio. Adquirir las herramientas y el conocimiento en cada una de las tecnologías que utilicemos resulta imprescindible. GNU/Linux, y el Código Libre, han creado un nuevo estándar en lo que a desarrollo e implementación de aplicaciones nuevas y personalizables se refiere.

Día a día, los Sistemas Libres continúan ganando el reconocimiento entre los profesionales y administradores del TI debido a su flexibilidad, estabilidad, y funcionalidad. A medida que más empresas utilizan la plataforma, crece la necesidad de un mayor soporte y planificación sobre la integración de GNU/Linux en las infraestructuras nuevas y/o existentes. De este modo, el rol del administrador es guiar la implementación y desarrollo de soluciones basadas en GNU/Linux.

Este curso es un repaso comprensible de las características y funcionalidad de GNU/Linux, orientada a preparar al …

Pocos administradores de sistemas de primera línea pueden darse el lujo de preocuparse por la seguridad; por lo general siempre hay otros aspectos que reclaman nuestra atención y vamos relegando a un segundo plano la integridad de nuestros sistemas frente a intrusiones y ataques.

Escrito por uno de los más grandes expertos en seguridad, Tony Howlett, esta guía trata en profundidad todas las perspectivas del problema proponiendo soluciones de bajo coste basadas en Software Libre.

Algunos de los temas que se tratan son:

- Instalación de un servidor de seguridad de código abierto utilizando ipchains, iptables, firewall de tortuga, o smoothwall.

- Puertos de exploración y pruebas de vulnerabilidad utilizando Nmap, nel, para Windows de Nmap, Nessus, y NessusWX.

- Uso de sniffers y sistemas de intrusión en la red, incluyendo tcpdump, Ethereal, Windump, Snort y Snort para Windows.

- Seguimiento y análisis de datos recogidos con …

La seguridad informática, es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con ésta (incluyendo la información contenida). Para ello existen una serie de estándares, protocolos, métodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la información. (...)

La seguridad informática es la disciplina que se ocupa de diseñar las normas, procedimientos, métodos y técnicas destinados a conseguir un sistema de información seguro y confiable.

(Wikipedia)

En este manual se tratan diversos temas relativos a la seguridad informática como son:

• Principios de Seguridad: modelos, conceptos
• Seguridad física, Hardware y Sistemas distribuidos
• Autenticación, autorización. Administración de sistemas seguros
• Logging y …

"El autor del libro es Sacha Fuentes, experto en seguridad, y se trata de un manual básico sobre seguridad informática.

-En el libro no se pretende que el usuario se convierta en un experto en seguridad informática sino que, simplemente, sea capaz de tomar las decisiones adecuadas cuando se enfrente a alguno de los problemas que aquí se explican y consiga salir airoso de la situación sin necesidad de recurrir al típico formateo y reinstalación del sistema.-

Luego de haber recuperado los gastos de edición, el libro está disponible para descargar en formato pdf con licencia Creative Commons que permite su libre distribución."

Ruby is a dynamic, reflective, object-oriented, general-purpose programming language. It was designed and developed in the mid-1990s by Yukihiro "Matz" Matsumoto in Japan.

According to its authors, Ruby was influenced by Perl, Smalltalk, Eiffel, Ada, and Lisp. It supports multiple programming paradigms, including functional, object-oriented, and imperative. It also has a dynamic type system and automatic memory management.

(Wikipedia)

Summary:

• Code quality metrics
• Dependency management
• Static code analysis with Brakeman
• Tainting and restricted code execution
• Dangerous methods
• Symbols
• Serialization in Ruby
• Regular expressions
• Object.send
• SSL in Ruby
• Authentication and session management
• Authorization and user management
• Common attacks and mitigations
• Client-side …

Muchos manuales tratan sobre aspectos de seguridad en el trabajo constante con bases de datos. Sin embargo, la gran mayoría solo ofrecen un conocimiento limitado sobre cómo proteger sus contenidos delegando incluso parte del trabajo en herramientas de terceros.

Este proyecto, iniciado en 2008 por Securosis, busca el ofrecer una serie de métricas a través de las cuales medir cada una de las áreas que conciernen al ámbito de la seguridad en este campo. Éstas, han sido diseñadas para ayudar al administrador a comprender mejor el proceso de seguridad inherente a un sistema en términos relativos a su coste, eficiencia y efectividad.

Here are some of my notes in English for beginners about reverse engineering who would like to learn to understand x86 (which accounts for almost all executable software in the world) and ARM code created by C/C++ compilers.

Why one should learn assembly language these days? Unless you are OS developer, you probably don’t need to write in assembly: modern compilers perform optimizations much better than humans do. Also, modern CPUs are very complex devices and assembly knowledge would not help you understand its internals. That said, there are at least two areas where a good understanding of assembly may help: first, security/malware research. Second, gaining a better understanding of your compiled code while debugging.

Therefore, this book is intended for those who want to understand assembly language rather than to write in it, which is why there are many examples of compiler output.

Warning: this is a shortened LITE-version!

It is …

La seguridad en dispositivos móviles se ha convertido en un asunto muy importante debido al incremento de "ataques" recibidos y a las consecuencias que estos tienen. Los ataques vienen incentivados por la popularización de los dispositivos móviles, el aumento de información personal y confidencial que almacenan y las operaciones realizadas a través de ellos, como por ejemplo las bancarias.

Los dispositivos móviles están formados por un conjunto de componentes de hardware capaces de soportar una gran variedad de tecnologías inalámbricas (GSM, UMTS, Wifi, Bluetooth, etc.), donde destaca uno o varios procesadores de altas prestaciones que permiten ejecutar un sistema operativo muy complejo y un gran número de aplicaciones que requieren una gran capacidad de cálculo. Todo ello incrementa significativamente las distintas vulnerabilidades a las que están expuestos este tipo de dispositivos.

Un hardware más potente implica que pueden ser tratados más datos …

El objetivo de los sistemas biométricos es proporcionar un mecanismo de identificación. Este mecanismo de identificación puede estar dirigido a varios objetivos. Los más comunes, relacionados con proporcionar seguridad a un recurso, suelen ser la autentificación o la detección de personal autorizado y la detección de personal no autorizado. Desde el punto de vista técnico, estos dos objetivos se pueden englobar en un solo punto puesto que la mayoría de las funcionalidades se logran haciendo buscas de personas previamente identificadas en la base de datos del sistema en cuestión. En el primer caso, se da acceso a las personas introducidas en la base de datos y, en el segundo caso, a las personas que no están introducidas en la base de datos. A pesar de que estos son los dos ataques más comunes también existen otros que se van a tratar a lo largo del manual.

La estructura es la siguiente:

• La primera parte pretende dar una descripción general de los tipos…

Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos.

El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro.

Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al método de infiltración, al hecho de incrustar código SQL intruso y a la porción de código incrustado.

(Wikipedia)

En este módulo UOC perteneciente a su colección sobre Seguridad Informática, se analizan todos los aspectos relacionados con las …

En este manual de seguridad informática publicado por la UOC dentro de su línea de cursos homónima encontramos los diversos aspectos a tener en cuenta en el ámbito de las aplicaciones web.

Algunos de los epígrafes aquí tratados son los siguientes:

• Ataques de inyección de scripts
• Ataques de inyección de código
• Ataques de Path Tansversal
• Ataques de inyección de ficheros
• Google Hacking
• Seguridad por ocultación

El libro desarrollado por Juan Antonio Calles García y Pablo González Pérez (de Flu Project) pretende servir como manual de auditoría de seguridad informática. Se centra específicamente en la fase de Footprinting, que se corresponde con la primera fase de los procesos de auditoría de Caja Negra y Test de Penetración.

Los autores describen mediante una serie de pasos una posible manera de realizar la búsqueda de información necesaria para las posteriores fases de la auditoría, analizando algunas de las principales herramientas disponibles en el mercado.

El proceso de Footprinting consiste en la búsqueda de toda la información pública, bien porque haya sido publicada a propósito o bien porque haya sido publicada por desconocimiento (abierta, por tanto no estaremos incurriendo en ningún delito, además la entidad ni debería detectarlo) que pueda haber sobre el sistema que se va a auditar, es decir, buscaremos todas las huellas posibles, como direcciones IP,…

Inyección SQL es un método de infiltración de código intruso que se vale de una vulnerabilidad informática presente en una aplicación en el nivel de validación de las entradas para realizar consultas a una base de datos.

El origen de la vulnerabilidad radica en el incorrecto chequeo y/o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL. Es, de hecho, un error de una clase más general de vulnerabilidades que puede ocurrir en cualquier lenguaje de programación o script que esté embebido dentro de otro.

Se conoce como Inyección SQL, indistintamente, al tipo de vulnerabilidad, al método de infiltración, al hecho de incrustar código SQL intruso y a la porción de código incrustado.

Hack x Crack

Esta es una guía para conseguir la claves wep de los puntos wifi protegidos con contraseña usando la distribución de Linux Backtrack 5.

BackTrack es una distribución GNU/Linux en formato LiveCD pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general. Actualmente tiene una gran popularidad y aceptación en la comunidad que se mueve en torno a la seguridad informática.

Incluye una larga lista de herramientas de seguridad listas para usar, entre las que destacan numerosos scanners de puertos y vulnerabilidades, archivos de exploits, sniffers, herramientas de análisis forense y herramientas para la auditoría Wireless. Fue incluida en el puesto 32 de la famosa lista "Top 100 Network Security Tools" de 2006.

(Wikipedia)

Hack x Crack

El manual de Datos Personales y Nuevas Tecnologías es un documento que brinda apoyo a la tarea y al desarrollo del docente en el uso de las Tics en las aulas.Este material complementa el desarrollo profesional de los docentes y también promueve la formación de los alumnos en el uso responsable de las Tics mediante contenidos pedagógicos y tecnológicos.

Entre la información contenida en el manual se pueden encontrar sugerencias didácticas e información general sobre buenas prácticas del uso de las Tics, la privacidad de los datos personales y los derechos que poseen los ciudadanos en Internet.

Este trabajo pretende introducir un nuevo protocolo cuántico basado en pares EPR para generar y compartir claves que no está afectado por el ataque llamado EPR Man in the Middle. Este método de criptoanálisis, que posee múltiples variantes incluso en criptografía clásica, ha demostrado ser tremendamente efectivo en muchos de los protocolos basados en pares EPR que se han diseñado hasta

ahora. Añadimos también una serie de comentarios respecto a su diseño, además de una introducción a la computación cuántica e información cuántica, dos ramas de estudio recientes que, además de estar muy emparentadas con el tema central del libro, ayudarán a mostrar qué puede aportar este nuevo enfoque.

When your reputation is tarnished, your finances are impacted, your identity is stolen, your physical well-being is threatened, your company’s reputation and finances are harmed, and, quite possibly, your country is overthrown, then you’ll wake up to the need for cyber security. But it might be too late then. Like people living in a flood zone, the question isn’t whether the flood is coming, but rather when the disaster will hit and whether you’ll be prepared for it. The time to buy digital-security flood insurance is now! Don’t wait until the flood hits.

A Practical Guide to TPM 2.0 can be part of your digital-security insurance policy. The TPM was designed as one of the core building blocks for digital security solutions. The November 2013 “Report to the President: Immediate Opportunities for Strengthening the Nation’s Cybersecurity” recommends “the universal adoption of the Trusted Platform Module (TPM), an industry-standard microchip designed to provide …

Given that security breaches and intrusions continue to be reported daily across organizations of every size, is information security really effective? Given the rapid evolution of new technologies and uses, does the information security group even need to exist?

Obviously, this is a somewhat rhetorical question. I cannot imagine that any sizeable organization would operate well without an information security function. The real issue is whether the information security group should continue to exist as it does today, with its traditional mission and vision.

As information security professionals, we should be asking ourselves pointed questions if we wish to remain valuable and relevant to our organizations. Why do we exist? What should our role be? How are new consumer technologies shaping what we do—and can we shape the world of the consumer? How is the evolving threat landscape shaping us—and can we shape the threat landscape? Given the bewildering pace at which …

Existen inevitables lugares comunes a la hora de abordar el tema de la vigilancia. El principal punto de partida se sitúa en torno a la idea de panóptico (de Bentham a Foucault), aplicable a las denominadas sociedades disciplinarias. Otras lecturas parten de la obsesión taylorista de vigilar a los trabajadores en la búsqueda del rendimiento controlado y llegan hasta el imaginario, convertido en espectáculo, que la novela de Orwell ha propiciado y según el cual, el futuro será un mundo sujeto a la mirada perpetua del Gran Hermano.

Sin embargo, se hace preciso atender al cambio cualitativo que vienen experimentando los fenómenos de vigilancia expandida a través de las nuevas posibilidades tecnológicas y cuyo nuevo escenario es el contexto social contemporáneo.

Así, la deriva espectacular del fenómeno junto a las “políticas del miedo” imperantes han acelerado toda una suerte de normalización, de asimilación, cuando no de interiorización del control en …

TrueCrypt es una aplicación para cifrar y ocultar en el ordenador datos que el usuario considere reservados empleando para ello diferentes algoritmos de cifrado como AES, Serpent y Twofish o una combinación de los mismos. Permite crear un volumen virtual cifrado en un archivo de forma rápida y transparente.

Existen versiones para sistemas operativos Windows XP/2000/2003/Vista/7, Mac OS X, Linux y MorphOS (en este último bajo el nombre Kryptos). La última versión es la 7.0a, publicada el 6 de septiembre de 2010.

TrueCrypt se distribuye gratuitamente y su código fuente está disponible, aunque bajo una licencia restrictiva.

(Wikipedia)

La Ciberseguridad está cada día más presente en nuestras vidas digitales, la cantidad y tipología de ciberataques que pueden sufrir ciudadanos, empresas e instituciones aumenta exponencialmente cada año y mantener la visión de conjunto de la situación es cada vez más difícil.

Por eso, desde U-tad hemos querido hacer un ejercicio de síntesis de las principales fuentes y estudios para que los ciudadanos y las empresas puedan disponer de una visión actualizada y agregada de este complejo mundo.

En las siguientes páginas abordamos las principales amenazas que los ciberdelincuentes emplean en sus ataques, las técnicas de respuesta –que por desgracia siempre surgen como reacción al ingenio desplegado por los atacantes, pero la verdad es que con mejoras en los paradigmas que empiezan a dar su frutos en prevención y detección temprana de amenazas-, y la estimación del perjuicio económico que estos ataques provocan.